¡Hola a todos! El portal favorito de todos tenía muchos artículos diferentes sobre la certificación en el campo de la seguridad de la información, por lo que no voy a reclamar la originalidad y singularidad del contenido, pero aún así me gustaría compartir mi experiencia al obtener GIAC (Global Information Assurance Company). Certificación en el ámbito de la ciberseguridad industrial. Desde la aparición de palabras tan terribles como , , Shamoon, Triton, comenzó a formarse un mercado para la prestación de servicios de especialistas que parecen ser TI, pero que también pueden sobrecargar los PLC reescribiendo la configuración en las escaleras y, al mismo tiempo, la planta no se puede detener.
Así llegó al mundo el concepto de IT&OT (Information Technology & Operation Technology).
Inmediatamente después (está claro que no se debe permitir trabajar a personal no calificado) surgió la necesidad de certificar especialistas en el campo relacionado con garantizar la seguridad de los sistemas de control de procesos y sistemas industriales, de los cuales resulta que hay muchos ellos en nuestras vidas, desde la válvula automática de suministro de agua en el apartamento hasta el sistema de control de los aviones (recuerde el excelente artículo sobre la investigación de problemas ). E incluso, como se vio de repente, equipos médicos complejos.
Una breve letra sobre cómo llegué a la necesidad de obtener una certificación (puede omitirla): Habiendo completado con éxito mis estudios en la Facultad de Seguridad de la Información a finales de la década de XNUMX, entré con la cabeza en las filas de las ovejas de instrumentación. en alto, trabajando como mecánico de sistemas de alarmas de seguridad de baja corriente. Parece que me hablaron de la seguridad de la información en la empresa en ese momento :) Así comenzó mi carrera como especialista en sistemas de control automatizado con una licenciatura en seguridad de la información. Seis años más tarde, tras ascender al rango de jefe del departamento de sistemas SCADA, lo dejé para trabajar como consultor de seguridad para sistemas de control industrial en una empresa extranjera que vende software y equipos. Aquí surgió la necesidad de ser un especialista certificado en seguridad de la información.
es un desarrollo una organización que lleva a cabo capacitación y certificación de especialistas en seguridad de la información. La reputación del certificado GIAC es muy alta entre los especialistas y clientes de los mercados de EMEA, EE. UU. y Asia Pacífico. Aquí, en el espacio postsoviético y en los países de la CEI, un certificado de este tipo sólo lo pueden solicitar las empresas extranjeras que operan en nuestros países, las agencias internacionales y de consultoría. Personalmente, nunca me he encontrado con una solicitud de dicha certificación por parte de empresas nacionales. Básicamente, todo el mundo pide CISSP. Esta es mi opinión subjetiva y si alguien comparte su experiencia en los comentarios, será interesante saberla.
Hay bastantes áreas diferentes en SANS (en mi opinión, últimamente los chicos han ampliado demasiado su número), pero también hay cursos prácticos muy interesantes. me gustó especialmente . Pero la historia será sobre el curso. y un certificado llamado: .
De todos los tipos de certificaciones de Ciberseguridad industrial que ofrece SANS, esta es la más universal. Dado que el segundo se refiere más bien a los sistemas Power Grid, que en Occidente reciben una atención especial y pertenecen a una clase separada de sistemas. Y el tercero (en el momento de mi trayectoria de certificación) relacionado con Respuesta a Incidentes.
El curso no es barato, pero proporciona un conocimiento bastante amplio de TI y OT. Será especialmente útil para aquellos camaradas que hayan decidido cambiar de campo, por ejemplo de la seguridad informática en el sector bancario a la ciberseguridad industrial. Como ya tenía experiencia en el campo de los sistemas de control de procesos, instrumentación y tecnología de operación, en este curso no había nada fundamentalmente nuevo o de vital importancia para mí.
El curso consta de 50% teoría y 50% práctica. En la práctica, el concurso más interesante fue NetWars. Durante dos días, después del curso principal de clases, todos los estudiantes de todas las clases se dividieron en equipos y realizaron tareas para obtener derechos de acceso, extraer la información necesaria, obtener acceso a la red, un montón de tareas para promover hashes, trabajar con Wireshark. y todo tipo de delicias diferentes.
El material del curso se resume en forma de libros, que luego recibirá para su uso perpetuo. Por cierto, puedes realizarlos para el examen, ya que el formato es Libro Abierto, pero no te ayudarán mucho, ya que el examen tiene 3 horas, 115 preguntas y el idioma de entrega es el inglés. Durante las 3 horas completas, podrás hacer un descanso de 15 minutos. Pero ten en cuenta que al tomar un descanso de 15 minutos y volver a las pruebas después de los 5, simplemente estás renunciando a los diez minutos restantes, ya que ya no podrás detener el tiempo en el programa de pruebas. Puede omitir hasta 15 preguntas, que aparecerán al final.
Personalmente no recomiendo dejar muchas preguntas para después, porque realmente 3 horas no es tiempo suficiente, y cuando al final tienes dudas que aún no han sido resueltas, hay una alta probabilidad de no poder hacer. a tiempo. Dejé para después sólo tres preguntas que me resultaron realmente difíciles, ya que estaban relacionadas con el conocimiento del estándar NIST 800.82 y NERC. Psicológicamente, estas preguntas "para más tarde" te ponen de los nervios al final: cuando tu cerebro está cansado, quieres ir al baño, el cronómetro en la pantalla parece acelerarse exponencialmente.
En general, para aprobar el examen es necesario obtener un 71% de respuestas correctas. Antes de realizar el examen, tendrás la oportunidad de practicar en exámenes reales, ya que el precio incluye 2 exámenes de práctica de 115 preguntas y con condiciones similares al examen real.
Recomiendo realizar el examen un mes después de finalizar la formación, dedicando este mes al autoestudio sistemático de aquellas cuestiones en las que te sientes inseguro. Sería bueno que tomara los materiales impresos recibidos durante el curso, que parecen resúmenes breves sobre cada tema, y buscara deliberadamente información sobre los temas contenidos en estos libros. Divida el mes en dos partes, realice pruebas de práctica y obtenga una idea aproximada de en qué áreas es fuerte y dónde necesita mejorar.
Me gustaría destacar las siguientes áreas principales que componen el examen en sí (no el curso de formación, ya que cubre temas mucho más extensos):
- Seguridad física: al igual que otros exámenes de certificación, este tema recibe mucha atención en el GICSP. Hay preguntas sobre los tipos de cerraduras físicas en las puertas, se describen situaciones de falsificación de pases electrónicos, donde es necesario dar una respuesta para identificar claramente el problema. Hay preguntas directamente relacionadas con la seguridad de la tecnología (proceso), dependiendo del área temática: procesos de petróleo y gas, centrales nucleares o redes eléctricas. Por ejemplo, puede surgir una pregunta como: ¿Determinar qué tipo de control de seguridad física es la situación cuando una alarma proviene del sensor de temperatura del vapor en la HMI? O una pregunta como: ¿Qué situación (evento) servirá como motivo para analizar las grabaciones de video de las cámaras de vigilancia del sistema de seguridad perimetral de la instalación?
En términos porcentuales, señalaría que el número de preguntas de esta sección en mi examen y en las pruebas prácticas no superó el 5%.
- Otra y una de las categorías de preguntas más extendidas son las preguntas sobre sistemas de control de procesos, PLC, SCADA: aquí será necesario abordar sistemáticamente el estudio de los materiales sobre cómo se estructuran los sistemas de control de procesos, desde los sensores hasta los servidores donde se encuentra el propio software de aplicación. carreras. Encontrará un número suficiente de preguntas sobre los tipos de protocolos de transferencia de datos industriales (ModBus, RTU, Profibus, HART, etc.). Habrá preguntas sobre en qué se diferencia RTU del PLC, cómo proteger los datos en el PLC de la modificación por parte de un atacante, en qué áreas de memoria el PLC almacena datos y dónde se almacena la lógica en sí (un programa escrito por un programador de sistemas de control de procesos). ). Por ejemplo, puede surgir una pregunta de este tipo: ¿Dar respuesta a cómo se puede detectar un ataque entre un PLC y un HMI que operan mediante el protocolo ModBus?
Habrá preguntas sobre las diferencias entre los sistemas SCADA y DCS. Una gran cantidad de preguntas sobre las reglas para separar las redes de control de procesos automatizados en el nivel L1, L2 del nivel L3 (lo describiré con más detalle en la sección con preguntas sobre la red). Las preguntas situacionales sobre este tema también serán muy diversas: describen la situación en la sala de control y es necesario seleccionar las acciones que debe realizar el operador del proceso o el despachador.
En general, esta sección es la más específica y de perfil reducido. Requiere tener buenos conocimientos:
— sistema de control automatizado, parte de campo (sensores, tipos de conexiones de dispositivos, características físicas de los sensores, PLC, RTU);
— sistemas de parada de emergencia (ESD – sistema de parada de emergencia) de procesos y objetos (por cierto, hay una excelente serie de artículos sobre este tema en Habré de )
— conocimientos básicos de los procesos físicos que se producen, por ejemplo, en el refinado de petróleo, la generación de electricidad, los oleoductos, etc.;
— comprensión de la arquitectura de los sistemas DCS y SCADA;
Me gustaría señalar que las preguntas de este tipo pueden aparecer hasta en un 25% en las 115 preguntas del examen. - Tecnologías de red y seguridad de red: creo que la cantidad de preguntas de este tema ocupa el primer lugar en el examen. Probablemente habrá absolutamente de todo: el modelo OSI, en qué niveles opera este o aquel protocolo, muchas preguntas sobre la segmentación de la red, preguntas situacionales sobre ataques a la red, ejemplos de registros de conexión con una propuesta para determinar el tipo de ataque, ejemplos de configuraciones de conmutadores. con una propuesta para determinar una configuración vulnerable, preguntas sobre vulnerabilidades de los protocolos de red, preguntas sobre las características específicas de las conexiones de red de los protocolos de comunicación industrial. La gente pregunta mucho sobre todo sobre ModBus. La estructura de los paquetes de red de un mismo ModBus, dependiendo de su tipo y versiones soportadas por el dispositivo. Se presta mucha atención a los ataques a redes inalámbricas: ZigBee, Wireless HART y simplemente a cuestiones sobre la seguridad de la red de toda la familia 802.1x. Habrá preguntas sobre las reglas para colocar ciertos servidores en la red del sistema de control de procesos (aquí debe leer el estándar IEC-62443 y comprender los principios de los modelos de referencia de las redes de sistemas de control de procesos). Habrá preguntas sobre el modelo Purdue.
- Categoría de cuestiones que se relaciona exclusivamente con las características funcionales del funcionamiento de los sistemas de transmisión de electricidad y los sistemas de seguridad de la información para los mismos. En EE. UU., esta categoría de sistemas automatizados de control de procesos se denomina Power Grid y se le asigna una función separada. Para ello, incluso se han elaborado normas específicas (NIST 800.82) que regulan el modo de crear sistemas de seguridad de la información para este sector. En nuestros países, en su mayor parte, este sector se limita a los sistemas ASKUE (corríjame si alguien ha visto un enfoque más serio para monitorear los sistemas de distribución y entrega de electricidad). Entonces, en el examen encontrarás preguntas bastante específicas relacionadas con Power Grid. En su mayor parte, estos fueron casos de uso para una situación específica que se desarrolló en la Central Eléctrica, pero también puede haber encuestas sobre dispositivos que se utilizan específicamente en la Red Eléctrica. Habrá preguntas que aborden el conocimiento de las secciones del NIST para esta categoría de sistemas.
- Preguntas relacionadas con el conocimiento de las normas: NIST 800-82, NERC, IEC62443. Creo que aquí, sin ningún comentario especial, debe navegar por las secciones de los estándares, cuál es responsable de qué y qué recomendaciones contiene. Hay preguntas específicas, por ejemplo, sobre la frecuencia de verificación del funcionamiento del sistema, la frecuencia de actualización del procedimiento, etc. Como porcentaje de dichas preguntas, se puede encontrar hasta el 15% del número total de preguntas. Pero depende. Por ejemplo, en dos exámenes de práctica solo encontré un par de preguntas similares. Pero realmente hubo muchos durante el examen.
- Bueno, la última categoría de preguntas son todo tipo de casos de uso y preguntas situacionales.
En general, la formación en sí, con la posible excepción de CTF NetWars, no me resultó muy informativa en términos de adquisición de conocimientos potencialmente nuevos. Más bien, se obtuvieron detalles más profundos sobre algunos temas, especialmente en el campo de la organización y protección de las redes de radio utilizadas para transmitir información tecnológica, así como material más organizado sobre la estructura de las normas extranjeras dedicadas a este tema. Por tanto, los ingenieros y especialistas que tengan suficiente conocimiento y experiencia trabajando con sistemas de control de procesos/sistemas de instrumentación o Redes Industriales, pueden pensar en ahorrar en formación (y ahorrar tiene sentido), prepararse y pasar directamente a realizar el examen de certificación, que , por cierto, vale 700USD. En caso de avería, tendrás que volver a pagar. Hay muchos centros de certificación que lo aceptarán para el examen, lo principal es presentar su solicitud con anticipación. En general, recomiendo fijar la fecha del examen de inmediato, porque de lo contrario la retrasarás constantemente, reemplazando el proceso de preparación por otros asuntos vitales y no del todo importantes. Y tener una fecha límite específica lo motivará.
Fuente: habr.com